Entonces ¿Qué es un IDS?
Se llama IDS o Sistema de Detección de Intrusiones a una herramienta de seguridad que tiene la función de detectar o monitorizar los eventos que busquen comprometer la seguridad de un determinado entorno de red.
IDS SEGURIDAD RED
Diagrama general de un IDS.
Tipos de IDS
HIDS (Host IDS)
Protege un único ordenador, monitorizando los eventos locales y analizando información del sistema mediantes ficheros logs. Este IDS trabaja con la información recogida dentro de un solo host. Por ello, es necesario tener un HIDS en cada host que queramos monitorizar. Recomendado para servidores WEB.
HIDS
En el diagrama se representa los IDS basados en host o llamados HIDS.
NIDS (Network IDS)
Analiza un segmento de red, capturando y analizando los paquetes que son transmitidos en la red. Bastará con único IDS para detectar ataques en todos los equipos conectados. Estos IDS funcionan como husmeadores o sniffer, leyendo todo el tráfico que pasa por la red, habitualmente funcionan mediante reglas. Entre la familia de NIDS podemos mencionar al Snort. Actualmente Snort es un IPS/IDS es decir una combinacion de detección y prevención. Algunos afirman que el IPS es la evolución de los IDS.
NIDS
En el diagrama se representa como el tráfico es canalizado a traves del dispositivo NIDS.
DIDS (Sistema de Detección de Intrusos Distribuido).
Sistema basado en la arquitectura cliente servidor compuesto por una serie de NIDS (IDS de redes) que tienen la funciones de sensores que informan de posibles ataques a una central que puede almacenar o solicitar consultas a una base de datos centralizada. A su vez los DIDS se clasifica en:
Pasivos.- Reaccionan mediante un evento de información de alerta, pero sin tomar ninguna acción.
Activos.- Reaccionan mediante una acción sobre el origen de ataque, como puede ser interactuar con el cortafuego para cerrar dicha conexión.
DIDS IDS
Diagrama del funcionamiento de un sistema DIDS
Análisis de comparación entre NIDS Y HIDS.
Acontinuación se muestra un cuadro comparativo con algunas de las caracterÃticas de los tipos de IDS como son los HIDS Y NIDS.
NIDS VS HIDS
Como podemos apreciar ambos tienen diferentes funcionalidades pero necesarios para la seguridad.
Algunos IDS basado HIDS.
Ossec es un Open Source: Registro y verificación de integridad de los archivos.
Seguimiento de polÃticas.
Detección de rootkits.
Alertas en tiempo real.
Funciona en la mayorÃa de sistema operativos como GNU/Linux, MacOS, Solaris, HP-AUX, AIX y Windows.
Samhain es un Open SourceSamhain sido diseñado para controlar múltiples hosts potencialmente con diferentes sistemas operativos, proporcionando el registro y mantenimiento centralizado , aunque también se puede utilizar como una aplicación independiente en un único host.
Samhain es una aplicación multiplataforma de código abierto para sistemas POSIX (Unix, Linux, Cygwin / Windows).
Afick es Open SourceAfick es una herramienta de seguridad, muy cercana a Tripwire otro HIDS. Permite controlar cambios en sus sistemas de archivos, por lo que puede detectar intrusiones. Está diseñado para ser rápido y portátil.
Probado en sistemas Windows, Redhat, Mandrake, Debian, Ubuntu, Slackware, HP Tru64, HPUX 11 y AIX.
Aide es Open SourcePotente soporte para expresiones regulares para incluir o excluir de forma selectiva archivos y directorios que se deben supervisar y verificar la integridad de los archivos.
Tripwire es Open SourceEs una herramienta de seguridad que vigila la integridad de archivos en una variedad de sistemas.
CONLUSIONES
La red de computadoras interrelacionadas es un reino peligroso lleno de personas que tienen millones de horas hombre dispuestos trabajar contra la estrategia de seguridad más fuerte. La única forma de vencerlos es contrarrestar un ataque y sus intentos. La selección de la estrategia de IDS adecuado será fundamental para garantizar que la red de su entorno siga siendo segura.
OJO: La maquina mas segura es aquella que esta apagada.